Nieuwe Privacy wetgeving, een kans of bedreiging?

Transcriptie

1 Nieuwe Privacy wetgeving, een kans of bedreiging?

2 Contact Mr. Steven Lourens, CIPP/E FG/DPO, sr. compliance officer VIVAT Coördinator toezichthouders SNS REAAL Bedrijfsjurist SNS REAAL Ministerie van Financiën, Afdeling Marktgedrag & effectenverkeer Advocaat Arthur Andersen / AKD Rijks Universiteit Groningen, bedrijfsrecht steven.lourens@vivat.nl Tel

3 Agenda Wat is Privacy? Wat zijn persoonsgegevens? De pensioendriehoek Uitgangspunten AVG Boetes Verwerkersovereenkomst Big data & toestemming Rechten betrokkenen Datalekken Wat nu te doen? Privacy voor werknemers

4 Inleiding

5 NL EU Toezichthouders Privacy Wet Bescherming Persoons gegevens (Wbp) Privacy Richtlijn (1995/46/EC) Spam & cookies Telecommunicatie wet (TW) E-Privacy Richtlijn (2002/58/EC)

6 Wat zijnpersoonsgegevens? BSN IP adres ( ) Locatiegegevens Overleden persoon KvK gegevens van een eenmanszaak Geanonimiseerde gegevens Motor van een Boeing

7 De pensioendriehoek Persoonsgegevens Deelnemer + partner & kinderen Betrokkenen Verantwoordelijke Adviseur Verwerker Pensioen uitvoerder Werkgever Gegevensverwerking Uitvoeringsovereenkomst

8 AVG heeft dezelfde uitgangspunten als de Wbp verwerkt in opdracht en onder verantwoordelijkheid van verantwoordelijke Verwerkingvan persoonsgegevensdoor verantwoordelijkemet mogelijk een bewerker uitvoering overeenkomst, wettelijke plicht, gerechtvaardigd belang, toestemming {..} bepaalt doel en wijze van verwerking verwerkingsgrondslagen beveiliging méér! doelbinding en verdere verwerking verwerkingsverbod bijzondere persoonsgegevens informatieplichten inzage- en wijzigingsrechten meldplicht datalekken bewaartermijnen incl. biometrische gegevens, genetische gegevens

9 Nu is boete zo laag dat bedrijven bewust de randen opzoeken of eroverheen gaan. Dat kan straks niet meer. Jongens, je moet wel de boel op orde hebben Iedereen moet in vrijheid kunnen leven zonder stiekemte worden achtervolgd door bedrijven en instanties Vertrouwenwordt belangrijker dan ooit

10 Uitgebreide boetebevoegdheid belangrijkste artikelen: EUR 20 mio. of 4% van de jaaromzet (wat hoger is) minder belangrijke artikelen EUR 10 mio. of 2% van de jaaromzet (wat hoger is)

11 Informatiestromen Werkgever = Verantwoordelijke Persoonsgegevens van Betrokkenen Adviseur = Verwerker Pensioenuitvoerder = Verantwoordelijke Pensioenuitvoerder = Verantwoordelijke

12 Verwerkersovereenkomst Verantwoordelijke Verwerken uitsluitend ogv schriftelijke instructies van de Verantwoordelijke Vertrouwelijkheid/geheimhouding Beveiligingsmaatregelen Bijstand verlenen bij datalek en uitoefenen rechten betrokkenen Sub-bewerker enkel na toestemming > zelfde afspraken Verwerker Na afloop persoonsgegevens verwijderen Audits, informeren schending

13 Persoonsgegevens buiten de EU Nee, tenzij: Andorra, Argentinië, Canada (commerciële sector/cpip van toepassing is), Faeröer Eilanden, Guernsey, Israël, het Isle of Man, Jersey, Nieuw-Zeeland, Uruguay, de Verenigde Staten (alleen indien aangesloten bij Privacy Shield) en Zwitserland. Landen met een passend beschermingsniveau "passende waarborgen > zorg ervoor dat betrokkenen dezelfde bescherming krijgen als wanneer de data in de EU was opgeslagen (BCR>multinationals) standaardbepalingen / "model clauses" > door EU voorgeschreven contractuele bepalingen die waarborgen afdwingen Wel blijf je verantwoordelijk voor de feitelijke naleving ervan Hoe ga je die buitenlandse partij aansprakelijk stellen of schade verhalen?

14 Big Data/profiling Mag Zwitserleven data over en weer uitwisselen/delen met de adviseur? Voor veel doelen waarvoor big data wordt ingezet, zijn tot de persoon herleidbare gegevens helemaal niet nodig. De gegevens moeten dan onomkeerbaar worden geanonimiseerd. Als organisaties voor hun doel wél herleidbare gegevens verwerken, moeten zij aan alle eisen van de AVG voldoen. Zo moeten zij mensen goed informeren over wat er met hun gegevens gebeurt en hen vaak ook om toestemming vragen Welke grondslag kan als basis worden gebruikt? Gevolgen voor de betrokkene: surprise minimization > creepyfeeling Leidt het resultaat tot discriminatie of stigmatisering? Transparantie > informeren je vooraf duidelijk & helder (ook over rechten)? Dataminimalisatie > kan de deelnemer kiezen in welke mate hij informatie deelt & krijgt hij de mogelijkheid van een opt-out?

15 Toestemming 1. Vrij 2. Specifiek 3. Geïnformeerd 4. Ondubbelzinnig Actieve Handeling; geen aangevinkt hokje Je moet kunnen aantonen hoe het proces van toestemming is verlopen

16 Rechten betrokkenen 1. Recht op inzage Overzicht verwerkte persoonsgegevens? Wie, wat, waar, wanneer, waarom 2. Recht op rectificatie: verbeteren, aanvullen 3. Recht om vergeten te worden Gegevens niet meer nodig voor doeleinden > statistische doeleinden Toestemming ingetrokken, geen andere rechtsgrond 4. Recht op beperking van de verwerking: juistheid wordt betwist/onrechtmatig 5. Recht op overdraagbaarheid: dataportabilitieit > toestemming/uitvoering ovk 6. Recht van bezwaar tegen verwerking, bijv. direct marketing, profilering

17 Datalek Inbreuken op de beveiliging waarbij persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, die (kunnen) leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Dit kan zich zowel bij de Verantwoordelijke voordoen als bij een door haar ingehuurde externe dienstverlener die persoonsgegevens verwerkt, de Verwerker Sinds 1 januari 2016 moeten datalekken worden gemeld bij de AP Niet (tijdig) melden kan leiden tot reputatieschade en een aanzienlijke boete van max De gegevens die bij Equifaxzijn buitgemaakt (143 mln), zijn wel veel schadelijker dan die van Yahoo. Bij het kredietbureau werden onder meer BSN, rijbewijsnrs. en creditcardgegevens gestolen, een goudmijn voor identiteitsfraudeurs. Toegang tot namen, geboortedata, wachtwoorden.

18 In datalekken gemeld bij AP 17% in de financiële dienstverlening (alleen gezondheidszorg is hoger met 29%) Voorbeelden van datalekken Een tp / deelnemer ziet in een klantportaal de persoonsgegevens van iemand anders Iemand raakt een USB-stick of andere gegevensdrager kwijt waarop persoonsgegevens staan Het per ongeluk verkeerd versturen van uitslagen van een medische keuring van een ander persoon Een laptop of smartphone waar persoonsgegevens op staan wordt gestolen Een poststuk met persoonsgegevens komt niet aan of komt geopend terug Een / brief met persoonsgegevens komt bij de verkeerde ontvanger terecht Kopieën van paspoorten, wachtwoorden etc. kunnen worden ingezien door onbevoegden (bijv. oud werknemer) Een inbraak door een hacker waarbij wellicht persoonsgegevens zijn gestolen Een storing in een datacentrum

19 Beslisboom 1. Zijn de gegevens persoonsgegevens? JA 2. Zijn het mijn eigen persoonsgegevens? JA 3. Zijn er persoonsgegevens verloren gegaan of onrechtmatig verwerkt? JA 4. Groot aantal óf gevoelige/bijzondere persoonsgegevens gelekt? JA 8. Zijn de gegevens adequaat geencrypt, versleuteld of kan het remote gewipedworden zonder nadelige gevolgen? JA 7. Ongunstige gevolgen voor het privé leven van de personen van wie de gegevens zijn gelekt? JA 6. Binnen 72 uur melden aan AP! aanvullen/verwijderen kan later > AFM/DNB? JA 5. Waarschijnlijk ernstige nadelige gevolgen? JA 9. Overweeg obvzorgplicht melding aan Betrokkenen JA 10. Nader onderzoek IT JA 11. Nadere aanvulling melding AP Binnen VIVAT = een datalek een meldingsplichtig incident Dit type incidenten moet je direct melden bij het Meldpunt incidenten

20 Wat te doen? 1. Goede governance inrichten (RACI) incl. rapportage's. DPO/FG benoemen? 2. Breng op hoofdlijnen in kaart welke persoonsgegevens je verwerkt (register) 3. Risk-based Gegevensbeschermingseffectbeoordeling (PIA) 4. Update alle Privacy beleidsstukken en Statements op websites en in productvoorwaarden. 5. Privacy by design 6. Beveiliging data (BIV-C) & melding datalekken op orde 7. Bij uitbesteding > check of Verwerkersovereenkomst nodig is en up to date is 8. Zorg dat er processen zijn zodat betrokkene al zijn rechten kan uitoefenen 1. Data minimalisatie 2. Pseudonimisering 3. Encryptie 4. Toegangscontroles 5. Privacy By default 6. Verwijderen 9. Profiling: tref maatregelen waarmee onjuistheden/risico op fouten wordt gecorrigeerd en geminimaliseerd 10. Zorg voor een systeem van management/proces & key controls (PDCA) - accountability 11. Creëer awareness en train relevante groepen

21 Privacy ook voor werknemers Verwerken persoonsgegevens WN s door WG kan enkel o.b.v. gerechtvaardigd belang Bewaar persoonsgegevens niet langer dan noodzakelijk Pas op met ziekteverzuim/afwezigheid: vraag nooit naar aard/oorzaak Beveilig persoonsgegevens en maak ze enkel toegankelijk op een kneed to know basis Check en/of update overeenkomsten met 3 e pp (Arbodienst) Monitoring WN s: noodzakelijk, gerechtvaardigd, proportioneel, transparant > belangenafweging Stel OR op de hoogte, stem beleid af en raadpleeg OR bij bijzondere verwerkingen Informeer WN s over hun rechten en hoe om te gaan met gegevens van klanten & train ze

22 Whatis youprivacy goal? Inefficient/overcompliance Digitally sustainable Inadequate/ window dressing Data Cowboys/reckless behavior

23 ?